美文网首页
SQL注入靶场—MySQL下的全方位利用

SQL注入靶场—MySQL下的全方位利用

作者: N8_xEnn7nA1 | 来源:发表于2018-11-13 13:44 被阅读0次

    使用 id=1 and 1=1--+ 测试,发现文章页面正常显示:

    image.png

    使用 id=1 and 1=2--+ 测试,发现文章内容没显示,说明存在sql注入

    image.png

    然后测试得到字段数为2:

    image.png

    这里测试当文章内容无法显示时,让联合查询的字段在页面中进行回显:

    image.png

    这里发现,数字2显示在了页面上,于是获取当前数据库名:

    image.png

    再获取当前数据库下面的表名:

    image.png

    再获取admin表的字段名:

    image.png

    再获取admin表的用户名和密码:

    image.png

    相关文章

      网友评论

          本文标题:SQL注入靶场—MySQL下的全方位利用

          本文链接:https://www.haomeiwen.com/subject/nnakfqtx.html